Mozilla

火狐社区

登录    注册

QQ互联

流行文化和密码水火不容的原因

yingliu Mozilla员工 发表于 2019-11-29 16:09:59 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式  关闭 [复制链接] 打印 上一主题 下一主题
0 19052
跳转到指定楼层
本帖最后由 yingliu 于 2019-12-2 11:29 编辑

“他俩到底是暂时分开冷静一下,还是已经分手了?!”在将近十年的漫长岁月里,美剧《六人行》中 Ross 与 Rachel 之间的分分合合牵动着全球数百万粉丝的心。也难怪,在此轰动一时的影视剧落幕后的多年后,这两人依然是最受欢迎的电视角色,而剧中人物的名字也已成为很多人爱用的密码。没错。数千到数十万个网络用户爱极了 Rachel、Monica、Joey、Chandler、Ross 与 Phoebe,甚至还把他们的名字当作自己的名字和密码。

我们想进一步了解近期的趋势,所以到汇整已知外泄事件数据的 haveibeenpwned(HIBP)网站,查询最常见的流行文化词语。(Firefox Monitor 运用 HIBP 的资源,协助用户了解其个人资料是否遭到数据外泄事件波及,并尽早自我保护。)

由于 HIBP 将敏感数据防护得滴水不漏、禁止存取,因此,我们无法在上面读取任何的用户数据文件、浏览密码列表,或将密码连上任意一个账号数据,而只能通过人工方式查询不合格的密码。结果我们发现,很多情境喜剧和运动的爱好者都把流行文化的热门词设为账号密码。这些烂密码不仅强度不足,还常常被黑客攻破。以下是我们的洞察结果:

常见的友好密码不安全

一位智者曾说:「Jerry,别忘了,如果你相信的话,那就不是谎言了。」无论你有多相信密码的安全性,但只要你用的密码是情境喜剧人物的名字,那就绝对不够安全。可惜的是,那也阻止不了超过 23 万人将密码设为《欢乐单身派对》中角色名 George。至于在《六人行》的主角中,Rachel 得到超过 13 万人的爱戴,将其设为密码。



同时,Ross 的名字则在《六人行》中排在最后,仅获 6,643 人设成密码。许许多多个人资料外泄账户都是使用四字符密码导致,还是有点可怕吧?快点改用强度更高的复杂密码吧,例如,FestivusfortheRestofUs!12181997 就从来不曾被破解过。

运动和密码凑不成强队

运动爱好者应该是全世界最热情的粉丝之一了。粉丝喜欢将在密码中加入自己喜欢的运动,这一点不难理解,但很不幸的是,在安全防护上,他们打的是一场稳输不赢的仗。如果你用了这些不适当的密码,请快点让它们坐冷板凳!



“美利坚密码国”

以家乡为荣是好事,从地道美食、音乐到风土,每个人无不认为自己出身的地方最好,或是最疯狂的。不过,以美国各州名当密码太容易预测,可说是最烂的密码也不为过。(其他国家地区同理,此处仅以美国为例)



这些密码出了什么问题?

这些不适当的烂密码都太简单,而且都太容易被猜到。不只如此,如果你是爱用 georgenewyorkfootball 当成密码的人,你八成也会重复使用同样的密码。因为这些密码都是在已知资料外泄事件中外流的密码,你的个人资料安全可算是风雨飘摇。

提高密码强度的方法

(一)不要重复使用同一组密码
这一点说再多次也不够:不要重复使用或回收旧密码。否则,一旦有人取得一组密码,就一定会拿着同样的密码试图攻入不同网站。很抱歉,我们还要告诉你一个坏消息:在同一组密码中加入 1 或 !,也无法加强安全强度。假使你的银行账号、个人邮件和 Amazon 账户的密码都一样的话,其中任何一个网站的漏洞便可能导致其他账号陷入风险。若想了解资料外泄带来的危害,不妨阅读 Equifax 的实际案例

(二)使用密码管理工具
倘若你经常就得点「忘记密码」键,密码管理工具将是你的好帮手。好的工具可以帮忙保存所有密码和产生新密码,让你一直保持密码强度。密码管理工具还应采用端到端加密,通过杂乱的数码混淆用户的信息,让无论什么人(包括密码管理工具的开发者)都无法探知其中存放的真实信息。

只要有 Firefox 账号,你就能通过 Firefox Lockwise 将密码带着走,随时随地在计算机、手机或其他设备上取得独一无二的高强度密码。还有,此服务完全免费!

(三)运用「 #@*Njub&*6! 」,增加密码强度
需要设定密码的灵感,又没有密码管理工具吗?你可参考 Mozilla 的密码设定指南。达人诀窍:当你在 Firefox 上设定新账号密码时,Lockwise 还会提供高强度复杂密码的建议。

(四)监测账号安全
以前,只要加几个数字便能创造出独特的安全密码,但到了今日,个人密码就像信用等级一样,必须时时检测以保安全。请注册 Firefox Monitor 服务,在账号出现数据外泄风险时迅速收到通知提醒。做到这一点,你就已经领先群雄了。



特殊说明:文中引用的数据从何而来?我们到 haveipbeenpwned.com 网站查询。针对影视剧和州名,我们查了全都是小写字母和首字母为大写的密码组合;针对运动名,则查询全为小写字母的组合。因为 HIBP 不断扩充数据集,而且数据外泄事件持续不断,所以,HIBP 网站上目前的数据可能会高于本文所引述。



您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表